序論:在您撰寫信息化風險管理時�,參考他人的優秀作品可以開闊視野����,小編為您整理的7篇范文��,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度。
第1篇
(福建江夏學院����,福州 350108)
(Fujian Jiangxia University��,Fuzhou 350108,China)
摘要: 企業信息化中的存在各種風險問題�����,怎樣提高企業信息化風險管理能力成為當務之急。應充分利用網絡信息技術�,開展信息化風險管理的創新工作����,明確信息化風險全面管理的目標,加強對企業信息系統內部系統關鍵點的控制�,構建信息化全面風險管理控制體系�,以滿足企業管理的需要,提升競爭力����,實現更大的經濟效益�。
Abstract: There are various risk problems in enterprise informatization, so how to improve the informatization of enterprise risk management ability has become a pressing matter of the moment. The enterprise should make full use of network information technology, carry out the information risk management innovation work, clear the goal of comprehensive risk management information, strengthen the control of the key points of the internal system of enterprise information system, and construct the informatization-based comprehensive risk management control system, in order to meet the needs of enterprise management, enhance competitiveness and achieve greater economic benefits.
關鍵詞 : 企業信息化;信息化風險����;全面風險管理�;控制體系
Key words: enterprise informatization;informatization risk��;comprehensive risk management��;control system
中圖分類號:F49 文獻標識碼:A 文章編號:1006-4311(2014)34-0203-03
收稿日期:2014年9月8日�����。
作者簡介:林建雄(1971-),男����,福建仙游人��,福建江夏學院會計學系副教授����,主要從事會計信息化教學與研究工作。
0 引言
企業信息化的建設是一個不斷發展變化的過程�,信息化的實施過程是一個長期的工程,隨著時間的推移����,對企業的相關人員��,特別是領導的積極性是極大的考驗��,因此企業的信息化過程中存在不可避免的問題——發展中的風險問題。
1 企業信息化的風險
信息化可能或者實際帶來的消極威脅是界定信息化的風險的依據��,企業實施信息化工程一般存在著較大風險����。風險管理泛指確認風險����、評價風險�、回應風險的過程。盡可能地降低風險的發生以及風險發生以后所帶來的損失和威脅�����,這是風險管理涉及復雜的結構��、機制�、過程和制度安排的原因�����。
1.1 社會環境風險 社會環境風險是指企業遇到的來自其經營環境的法律����、社會���、政治和經濟等各方面的風險。如政策��、法律的改變���,使企業的生產經營受到沖擊,環境風險包括系統安全風險、關聯方業務合作風險等���。
1.2 戰略規劃風險 在由傳統管理企業向信息企業轉變的過程中,企業缺乏整體的信息應用規劃�,特別是符合企業發展戰略和管理現狀的���,與企業資源適度配合的整體規劃��。這樣在企業信息化整體應用的推進過程中,勢必會造成資源分散�����、信息孤島林立,最終難以發揮系統的整體效益����。
1.3 組織管理風險 信息化首先是一個管理問題,其次才是技術問題���。企業信息化建設知識綜合性強、涉及的范圍廣、部門多���,除了涵蓋企業內部職能部門外,信息化建設往往涉及供應商�����、客戶����、分銷機構等���。企業實施信息化存在組織管理風險,管理風險包括組織結構不合理����、管理思想混亂��、管理職能虛化���、員工凝聚力下降等方面����。管理風險存在于企業信息化實施工作的全過程���,輕則增加成本、延長進程�����,重則導致企業信息化實施失敗��。
1.4 人力資源風險 信息化建設歸根到底是要人來完成的��,信息化人才是既懂業務����、又懂管理�����、還要懂計算機的多方面人才,這就需要我們的企業培養人����,而且更要留住人才。目前導致我國企業信息化項目實施失敗的主要原因之一便是專業化復合性人才匱乏�����。其一��,企業奇缺CIO(首席信息官)����,其二���,缺乏信息管理師,進而導致企業信息化缺乏內動力�����,無法正常����、高效地運行下去���。
1.5 流程風險 營運風險��、授權風險、信息技術風險和財務風險共同構成了流程風險�。財務風險,信息化項目投資少則上百萬��,多則數千萬���,包括信息化軟件費��、網絡硬件費���、實施服務費(費用比大致為1:2:3)�。由于企業的業務不可能是一成不變的�,如果企業的發展戰略、組織結構�����、業務流程發生了較大的變化�,整個信息系統也要作相應的調整��,系統的投入會更大����,這些隱含的成本由于其本身存在較大的不確定性而容易被忽視�,最終形成所謂的IT黑洞�。
1.6 執行控制風險 執行控制風險包括信息化軟件選擇����、實施服務商選擇、實施進度控制���、實施成本控制等方面。上述企業信息化實施工作不當���,輕則增加成本、延長進程���,重則導致企業信息化實施失敗�。實施過程中���,服務方缺乏相應的實施規范����,忽視或者不深入進行項目的可行性研究����、需求分析����、系統分析等或者監控力度不夠�����,使信息化實施項目不能如期完成���;實施結束,缺乏相應的驗收����,或是驗收的標準的差異����,導致企業的信息化項目成為“難樓工程”����。
1.7 監督考核風險 企業和政府部門在IT規劃過程會對信息化需求的分析和系統選型的實施給予充分的關注����,但忽視了與之相配合的IT管制體系的建設和優化�����。信息化建設并不以系統的上線為止����,更多的工作在于系統的推廣�、維護和優化;隨著信息化應用的不斷深入����,企業對信息化依賴程度越強,管制缺乏�����,信息化所隱藏的風險將越來越突出��,如信息安全的隱患����、無形資產流失的風險�、系統故障給業務帶來的影響等等���。企業進行內部控制的建設由企業自行承擔,沒有外部監管���,內部控制也就只能是紙上談兵而不能夠真正發揮作用。
2 企業信息化風險形成的原因
企業應用信息化系統�,存在一定的風險,分析風險的目的不是要企業放棄實施信息化系統�����,而是要企業充分估計風險�����,正確對待風險����,從而成功實施信息化�����。信息化風險的生成機理是復雜的,一方面是內因�,由信息化自身的特點所決定:第一,信息化的無疆界特征��;第二�����,信息化的低成本特征��;第三,信息化的開放性特征;第四����,信息化的匿名性特征。另一方面是外因�,是信息化的風險源�。重要的歸納為十個方面:自然災害;安全生產事故����;網絡攻擊��;借助信息化手段進行欺詐�;病毒和蠕蟲���;內部泄密����;使用不當�;因內部因素而造成的信息����、數據的修改和丟失;因外部因素造成信息�����、數據的泄露�、篡改和丟失���;安全防范措施不到位的高端技術等�����。
3 構建企業信息化全面風險管理體系
3.1 明確企業信息化中全面風險管理的目標
企業全面風險管理體系將達到以下主要目標:①明確企業不同層面的風險管理職責����,保證風險管理體系的落實;②統一風險度量��,建立風險預警機制和應對策略���;③提供風險的實時有效監控和依據包括風險信息的收集、分析���、報告系統����;④可能給企業造成重大損失的應該有效的回避��,企業戰略目標得以實現����;⑤企業利益相關者能夠了解企業的風險����,達到股東��、債權人以及監管機構要求的滿足��;⑥形成一套自我運行�����、自我完善的風險管理機制�。
3.2 設置信息化全面風險管理關鍵點
3.2.1 風險評估與診斷
系統地辨識企業所面臨的風險����,對辨識出的風險進行定性和定量的分析�����,評價風險對企業目標的影響���。
3.2.2 風險管理戰略及其實施方案
依據企業的整體戰略,結合企業的管理能力����,明確企業的風險管理目標;針對不同的關鍵風險,引入量化分析工具����,確定風險偏好和承受度;制訂保證企業整體戰略目標實現的整合風險管理戰略�。
3.2.3 風險管理流程優化與設計
基于企業現有的管理流程和內部控制體系����,結合已評估出的風險,找出流程中的關鍵風險控制點���,梳理并細化具體控制內容�,優化和完善制度����,優化監控指標體系���,強化運營和管理流程中的內部風險控制。
3.2.4 企業風險管理組織設計與文化建設
優化和設計企業風險管理結構��,設計不同層面的風險管理組織職能方案和相應的職責要求����、人員能力框架�,優化和完善關鍵的績效管理體系和薪酬激勵機制,構成風險管理有效運行的保障架構����。
3.2.5 風險管理方案設計
尋找企業風險留存與轉移的平衡點,設計相應的風險管理金融工具組合如期貨�、期權�����、掉期����、保險等產品組合或風險準備金�����、或有資本�、專屬保險等����,實現對具體風險事項的控制。
3.3 構建ERM(Enterprise Risk Management Framework)企業風險管理框架
企業應當根據自己的具體情況建立自己的ERM概念性框架:將風險偏好與企業戰略相聯系����;確保風險管理戰略與組織的發展戰略和股東的價值相一致��;利用風險最優化的概念����,避免額外的成本支出��。應該做到以下七個方面:構造企業風險管理的文化環境�、定義風險�、評估風險、制定回應風險的措施���、控制措施、溝通信息�����、持續的監控�。充分有效地利用風險管理�����,將風險管理的精神深植于企業的組織文化和員工的心中���,并透過一個強有力的全面風險管理框架���,將風險管理融入企業日常的作業程序中�。
4 實施企業信息化全面風險管理
實施企業信息化全面風險管理,構建全面風險管理體系�����,應從企業整體層面建設企業的風險管理的架構�,包括制定企業的風險管理戰略�����、完善企業的內控體系����、設計與優化企業的風險管理流程��、設計企業風險管理組織結構及其職能�,從而是企業建立起全面風險管理的長效機制,從根本上提升風險管理的效率和效果����。
4.1 重視風險管理
對信息話價值的徹底理解是是信息化建設所需要����,不可能立馬就成功��,不能為上信息化而信息化��。人力��、物力、財力及戰略發展規劃上給予信息化建設高度重視是企業所必須達到的��,并明確項目管理機構和職能�,以帶動各級員工的積極性和參與意識��,確保信息建設的順利實施��。
4.2 建立能切實推進信息化建設的組織����,切實防范風險
企業巨額投資進行信息化建設應密切配合企業管理重組。根據現代企業管理“企業過程化�����、組織扁平化��、功能系統化”的要求�����,進行管理重組��,著力進行與信息化相適應的企業文化設計與建設��,全面轉變和更新企業經營思想觀念,注重員工創新意識能力和團隊協作精神的培養����,為企業成功實施信息建設提供思想基礎和文化支撐。
為使信息系統能切實發揮作用�����,企業應參與信息化的全過程�,建立相應的信息化組織�。首先,企業要對安全性��、實用性、先進性等方面進行全面統籌和權衡��,把企業信息系統依據操作層���、運營層和決策層三個層次來規劃,緊緊圍繞企業中長期發展戰略�����,以支持企業實現使命為主要目標��,建設和不斷完善相應的硬件系統和軟件系統����。其次�,制定具體實施推進策略是,在做好整體規劃的前提下��,分步實施����、重點突破����、持續改進。最后���,在關鍵環節、關鍵機構���、關鍵業務進行實施,實現企業內關鍵點的信息化��,然后連點成線�����,織線成面�����,接面成體����,最終構成立體化�����、高度集成���、高度集中的企業級智能信息應用系統�����。
4.3 運用信息技術對風險進行定性/定量風險分析
按其對項目的影響程度排出先后級��,借助分析者的經驗和直覺���,為風險管理諸要素的大小或高低程度定性分級,即風險定性分析����。定量分析即對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當度量風險的所有要素都被賦值�,風險評估的整個過程和結果就都可以被量化了����。企業組織根據具體的情況,運用信息技術選擇定性或定量的分析方法���。
4.4 實施風險的監控
風險監控,在整個項目過程中監督已識別風險和殘留風險�、識別可能出現的新風險、執行風險應對計劃��、評估計劃執行的有效性���,應判斷:①風險應對措施是否按計劃實施����;②風險應對措施是否有效,是否需要制定新的措施;③項目假定條件是否依然成立�;④風險的狀態是否在改變�����;⑤是否出現了風險征兆���;⑥正確的項目章程和流程有否被遵從;⑦是否有未識別的風險發生��。
4.5 加強風險管理系統的測評與反饋
企業的信息化建設是一個漸進的����、動態的增效過程�,風險與收益始終伴隨著企業����。加強實時風險管理系統的測評與反饋���,增強系統風險管理的效率��。我們可以發現風險管理的實質即:識別風險�、篩選風險�、控制重點風險�����、最終降低風險���。通過業務和過程的實時測評與反饋——實時控制子系統,通過對未來事務和行為的反饋控制——反饋控制子系統�����,反饋控制包括內部反饋控制和外部反饋控制兩部分�。
4.6 利用網絡信息技術提高企業全面風險管控能力
企業風險管理的各項工作都要用到信息技術����,建立一套風險管理信息系統,包括采集��、存儲�����、加工�����、分析���、測試、傳遞�、報告���、披露等功能�。變化的環境�、復雜的決策�����、稍縱即逝的機會都需要有提供及時、有效�、準確的信息,風險管理信息系統是提高風險管理效率及可靠性的重要保障��,為企業各部門之間的風險溝通架設橋梁����。
風險管理信息系統為量化風險提供計算服務���,并且可根據管理層的要求就某一事件進行情境分析�,有關風險管理的數據庫也保存在系統之內����,風險管理信息系統也是風險控制和企業風險管理戰略的載體���。以信息技術為基礎的信息系統使一些適于自動化的管理流程必須通過系統才能加以實現�����,避免了人為錯誤,增強了控制程度�,并提高了管理效率。
總之�,風險控制不是靜止的,這就要我們不斷地去加深研究�,企業界強化認識�、給予重視也是非常重要的。在傳統的風險控制觀念基礎上���,充分利用網絡信息技術,實施全面風險管理�����,圍繞企業總體經營目標���,培育良好的風險管理文化,建立完整全面風險管理系統�����,保證實現風險管理的最終目標����。
參考文獻:
[1]李樹剛.企業內控中信息化實施方案探析[J].商場現代化����,2013(12).
第2篇
【關鍵詞】 稅收信息化����;電子稅務;風險管理
隨著現代化科學的飛速發展���,全球快速進入到信息化時代。1994年稅制改革和稅務機構分設后�,稅務系統開始步入較大規模信息化建設時期。自1995年國家稅務總局提出“以納稅申報和優化服務為基礎�����,以計算機網絡為依托�����,集中征收、重點稽查�、強化管理”的深化征管改革的方針以來,各地迅速推廣使用計算機����,局域網、廣域網覆蓋了全部稅收工作����。信息化建設步伐不斷加快,在稅收工作中發揮了重要作用��。
經過多年發展����,我國的稅收信息化建設取得了很大進展����,全國稅務系統在信息化技術裝備���、基礎設施��、業務系統開發應用等方面已具備一定基礎。在基礎設施方面����,全國地稅系統計算機二級網絡建設初具規模,全國國稅系統計算機四級建設已經完成��。以信息服務為內容的為納稅人服務的體系初步形成����,出現了互聯網網絡����、IC卡�、防偽設施等多種申報方式����;在稅務管理應用系統建設方面,金稅工程在稅務系統內部全面開通運行�����,初級公文處理軟件已在全國稅務系統推廣使用�����,稅收征管業務和行政管理初步規范化��,層級監控能力提高����;在人員素質培訓方面����,各級領導信息化意識增強,干部科技素質得到提高��,廣大稅務工作人員已初步接受了計算機培訓��。
但是稅收信息化的風險問題不容忽視����,信息化建設過程中的風險可能來自于各個方面��,因此必須認清稅收信息化中所存在的風險的內容����,并進行深入細致地分析研究��,將風險產生的不利影響減少到最小的程度�����,使稅收信息化能夠有序�、正常地發展下去����。
稅收信息化的風險是指稅務機關在進行稅收信息化的建設或應用中所面臨的各種威脅以及產生的一切負面影響和作用�,是稅收信息化發展的實際結果與預期目標間的偏差��,也是稅收信息化對稅收工作產生的積極作用之外的不良影響����。而引發信息化風險的原因是來自多方面的���,其根本原因就是由于在網絡經濟中稅收信息化的根本特征所致��,即現代信息技術與稅收業務緊密、廣泛地相結合��。其主要原因有以下五方面:
一是信息技術本身就具有較強的風險,最突出的表現就是信息技術的安全性����。
二是由于稅收信息化的應用是在傳統的稅收工作的基礎上建設而成的�,傳統工作中一些與信息技術應用不相適應的因素導致了相關風險。
三是稅收信息系統的不完善���,功能的不健全,造成了稅收信息化建設中面臨著較大的應用風險����。
四是稅收工作與社會的普遍結合��,致使稅收信息化的應用可能受到來自稅務機關外部的不良因素的威脅�。
五是目前社會形態正處于由傳統的工業經濟社會向網絡經濟社會變革的過程之中�,稅收信息化受到了整個社會的影響和制約,造成了稅收信息化發展的風險����。
有風險存在�,就必須實施相應的風險管理,以達到識別風險、控制風險��、防范風險的管理目標���。由于稅務機關普遍存在風險意識淡薄,對稅收信息化風險認識片面的問題�����,稅收信息化的風險管理是一個需要緊迫地提上議事日程的項目工程���。在調查中很多稅務機關已采取了一些措施來防范風險����,比如使用防計算機病毒軟件�����,進行系統數據備份等�,但由于稅收信息化所面臨的風險是綜合性的��,局部風險的控制在短期內是有一定的效果的,但從長遠來看���,總體效果并不十分明顯。因而整體化風險防范的思路更為可取�����。
在整體化思路中�����,我們需綜合考慮與稅收信息化風險相關的各方面因素���,重新構建稅收信息化總體框架,并以此為中心實現稅收業務處理與信息存儲的大集中���,優化稅收業務流程,處理好與信息服務商的關系���,培養稅務工作人員在信息化環境中的工作及思維模式,強化稅收業務�、稅收信息的標準化建設及法制�����、法規建設,利用先進的技術手段優化納稅服務���,解決好稅務部門與其他單位信息交換的問題����,加強稅收電子的整體建設及組織管理工作���,提高稅務工作人員的風險意識,進行有效的風險管理��。
其風險管理具體可分為六個步驟:
第一步,明確稅收信息化風險管理的目標��。風險管理的目標要針對稅收信息化應用和發展的總體和局部�、近期和長遠內容分別制定��,并有效實施�����,要結合國家稅收信息化發展的總體策略�,有效地進行風險防范。
第二步���,識別和評估稅收信息化的風險。首先要識別和發現已存在的風險��,這是進行風險管理的基礎�。其次����,找出產生風險的原因,判斷風險的產生是技術問題還是管理問題或者是思維���、意識方面的問題,是來自稅務機關內部的還是外部的等等�����。再次�����,衡量風險的重要性及其發生的可能性�����。
第三步����,制定稅收信息化風險管理的策略����。在實際中,針對特定的風險制定策略的方法有很多���,如對于后果不可承受的風險可采取避免其風險事件的發生或排除風險;對一般風險可采取降低風險�����,將其導致的后果降低到可以承受的程度����。
第四步���,制定和實施稅收信息化風險管理的具體措施��。主要是根據制定了的策略建立有針對性的措施細節。例如應用新技術�、對信息系統進行二次開發、調整業務流程或機構設置等���。
第五步,稅收信息化風險管理實施效果的監測�。在稅收信息化建設內容中,建立稅收信息化風險監測機制�����,針對總體發展戰略����、應用成果�、業務過程等方面進行監測����。
第六步�,改善和優化稅收信息化風險管理內容和過程���。稅收信息化是處于不斷地發展和變革之中,在工作中要不斷地對風險管理的目標�����、策略����、方案�、內容等進行改善和優化,以達到風險管理的根本目的�。
整體化的稅收信息化風險防范是稅務部門進行風險防范最為有效的方式��,稅收信息化的風險管理不是一個獨立的問題���,是與稅收信息化的建設��、發展密切相關���,并構成了稅收信息化體系結構中一個重要的��,不可缺少的組成部分����。
參考文獻
[1]蔡金榮.電子商務與稅收.中國稅務出版社,2000
[2]方衛平 黃瓊.稅收電子化.上海財經大學出版社
第3篇
隨著《中央企業全面風險管理指引》(以下簡稱《指引》)和《企業內部控制規范》及配套指引在中央企業的開展和推廣��,央企陸續建立或準備建立內控和全面風險管理體系�����,風險管理已經成為企業生存與發展的關鍵要素����。而信息化作為推動和實現企業體制完善�����、管理創新的重要手段��,也早已融入企業的各項管理和實踐����。越來越多的企業將風險管理信息化納入企業信息化建設規劃當中。已經有相當數量的中央企業建立了內控和全面風險管理信息系統����,還有一些企業結合管理實踐��,從法律����、市場、信用����、項目等專項業務管理入手形成了專項風險管理信息化應用��。
風險管理信息化存在的問題
據調查��,目前中央企業全面風險管理信息化建設仍處于起步階段�����,僅有少數企業建立了獨立的整體或專項風險管理信息系統��。信息技術在企業各項風險管理工作中的應用仍不充分��,無法滿足企業對信息收集、風險評估���、預警監測、溝通報告等工作的信息化要求�,也未能發揮其對提高風險管理效率的促進作用。
筆者認為風險管理信息化之所以開展緩慢����,應用不順��,可能與如下因素有關:
首先是定位不夠清晰���。一部分企業在建立內控或風險管理體系的同時或之后,實施了風險管理信息系統���,但是這樣一個系統是作為內控或全面風險管理牽頭部門的工作信息平臺�,用于推動企業內控和全面風險管理管理體系運行���?還是希望在各專項業務管理中通過風險管理信息化手段評估和管控業務風險���?不少企業對于系統的操作主體、應用范圍�、管理目標往往不夠清晰��,導致信息系統效能難以發揮�����。
其次是不能與業務管理融合��。有些企業雖然已經構建了風險管理信息系統�����,但是業務管理和風險管理在信息化應用中幾乎沒有交集,在信息系統中難以體系集成與信息共享�,使得風險管理變成“管理孤島”。現代企業已經制定了各種各樣足夠多的規章制度�、流程手冊、程序文件�、工作指南等;還有各種管理體系�,包括質量管理���、安全管理�����、六西格瑪���、全面預算管理����、全面風險管理�����、HSE���、內控規范等�。理論上講�����,不管引入并建立了多少種管理理念和體系����,企業都應當將它們整合成一套制度和流程�,而企業的員工只要嚴格按照這套制度和流程中所規定的要求開展工作即可以滿足所有管理體系的要求�����。如果不能發揮風險管理的整合價值��,如果不通過IT技術構建統一的信息化應用平臺�����,實現多個體系的整合和管理的融合���,就會不斷形成“管理體系孤島”和“信息孤島”,也就失去了內控和風險管理的價值和意義��。
風險管理信息化的原動力
企業風險管理信息化主要應滿足以下兩個層面的管理需要:
一方面是建立內控和全面風險管理體系的信息化運行平臺��,幫助企業開展定期的風險評估�、日常風險監控改進和內控評價��,編制風險管理和內控評價報告����,落實公司層面風險的集中管理��,實現風險管理體系的運轉�����。這項業務對于大多數企業來講��,與企業其他業務管理相比較,是企業的“新業務”�����。因此��,有必要建立—套信息系統作為落實該業務的工作平臺����,便于內控和風險管理職能部門或團隊更有效地開展公司層面風險管理工作的組織、溝通��、協調和報告���,解決風險管理工作推動、監督��、評價考核�;目前市場上絕大多數產品都是為了滿足內控和全面風險管理體系的建設和運行而設計的���,已經實施風險管理信息化建設的中央企業多數也是應用的此類產品��。此外,在構建此類信息系統時����,最好結合中國企業的實際情況,盡可能考慮內控和全面風險管理在信息流(包括風險庫����、指標庫、流程庫��、控制措施等)���、管理過程和評價考核等方面的融合。
另一方面就是企業中作為風險管理第一道防線的業務管理部門��,需要將風險管理與企業業務管理相融合����,使得風險管理充分融入企業的各項日常工作實踐,應用風險管理的手段����,評估并管控業務中的風險�����,體現在業務管理的信息化應用中����,支持業務管理的有效風險分析和決策支持,這是業務管理部門所必備的工具手段���。
這兩個方面既體現企業管理的全局與局部,又體現風險管理的集中與分類����,構成了企業風險管理信息化的原動力。
風險管理與業務管理信息化的融合
如何體現管理融合是企業信息化建設的重點和難點���。如果一個企業有自己的協同辦公管理系統,又有一套ERP��,企業的各項業務的管理實踐如何既能在執行業務流程的同時有效地評估和管控風險���,又不出現“管理體系二張皮”的情況呢?顯然����,一套業務系統�、一套風險管理系統的模式難以適應企業管理應用,換句話說,構建一套風險管理系統既作為企業內控和全面風險管理體系的運行平臺���,又希望承載風險管理與業務管理的融合要求是很困難的。
《指引》第五十八條明確提出:“已建立或基本建立企業管理信息系統的企業���,應補充�、調整��、更新已有的管理流程和管理程序����,建立完善的風險管理信息系統����;尚未建立企業管理信息系統的���,應將風險管理與企業各項管理業務流程��、管理軟件統一規劃、統一設計�����、統一實施�、同步運行?�!?/p>
根據《指引》的要求���,對于尚未進行業務信息化建設的企業,應該應用內控和風險管理體系作為管理整合的管理依據和基礎保障��,將風險管理要素嵌入各項管理業務流程�����,統一設計一套整合的業務管理信息系統����,在業務管理實踐中開展并重復風險管理的閉環����。
而對于已經構建ERP等信息化應用的企業����,可以考慮將風險管理要素分解并構造成較細顆粒度且相對獨立的“服務”����。若企業具備修改��、調整原有管理系統條件的����,可以在各業務流程的不同環節中“嵌入”所需要的風險管理服務����,根據服務運行的結果����,決定下一步流程走向,形成“強控制”�。比如����,可以提供多個定性和定量的風險分析服務以及風險評價和查詢服務,用于在各項業務中開展風險評估和動態查詢��,并在信息系統中根據風險分析和評價結果確定下一步應對策略和操作環節���。
對于不具備業務系統中進行流程控制優化條件的,可以建立數據接口確保業務數據到風險管理系統的單向輸入����,根據業務管理邏輯和數據分析構成風險管理“服務觸發器”����,根據風險承受度和管理策略及時發出提示、預警等�,但不影響原有系統的流程���,形成“弱控制”�。
第4篇
關鍵詞:浙煙���;信息化;風險管理
中圖分類號:F270.5
文獻標識碼:A
文章編號:1672-3198(2009)08-0031-02
1 浙煙信息化項目可能存在的風險
1.1 來自浙煙企業內部的管理風險
企業內部管理風險主要體現在管理變革風險與企業內部管理部門的風險����。
(1)管理變革風險�。
信息化首先是一個管理問題�,其次才是技術問題��。信息技術和管理技術的不斷發展推動了整個浙煙企業信息化的變革���,從而使企業的經營管理理念發生了本質的變化,它的變革如同“工業革命”一樣是歷史發展的必然�����,
(2)企業內部管理部門的風險����。
企業內部管理部門的風險主要體現在企業對信息化的認識與管理理念的差異���。浙煙商業企業是一個特殊的企業�,各級企業領導對信息化的認識也是參差不齊�����,有些企業實施“信息化”的目的并不是為了用信息化提升管理��、促進戰略目標的實現��,而是為完成信息化任務上信息化而信息化���。
1.2 信息化建設信息系統規劃風險
信息系統規劃是企業信息化建設重要步驟�����,是基于企業信息化客觀的需求分析和技術要求���,結合信息化投入預算和對市面上主要系統產品和供應商進行調查���、比較、分析和評估�,最后確定是自行開發系統、委托開發系統�����、還是購買現成產品���。在此過程中存在著多方面的風險�,比如:
(1)IT戰略與業務戰略相脫節�����。
信息化的根本目的是支持業務戰略的實現��,而IT戰略是信息系統規劃的總綱���,定義了信息化的使命�、遠景和原則,但企業信息化過程中常見的情況是沒有定義清晰的IT戰略���,對企業業務戰略的有效支持自然無從談起;另一種情況是僅僅在形式上給出了與業務戰略相一致的描述��,而在實際規劃和實施過程中依然是IT和戰略“兩張皮”�。缺乏與業務戰略相結合的IT戰略,通常導致業務驅動的IT規劃路線����,即“業務要什么,IT就做什么”����,一方面,業務本身需求的無序性�,從而導致了企業信息系統應用的無效現象�;另一方面,業務驅動的IT規劃路線也往往導致柔性不足�,無法適應業務和技術的變化�����。
(2)技術選擇風險�。
在技術選擇方面常見兩種傾向:一是恪守“少花錢�,多辦事”的原則�,從硬件的購置到系統的選擇都走低端路線;二是“要上就上最好的”��,走一流配備的路線����。對于前者我們要說,信息技術發展日新月異��,盲目追求廉價的選型方式只會導致系統和設備加快被淘汰的速度���,其結果是增加了企業再次投資的成本;而盲目追求技術的先進性同樣不是我們提倡的做法����,技術選擇的最佳標準是與業務需求相匹配,前面兩種做法都將最終導致成本的增高�����。
(3)選擇規劃者風險�����。
這里常見的問題是信息化技術人員往往傾向于關注技術問題而不擅長于對企業戰略和管理問題的把握�,而管理者一方面事務繁忙���,另一方面通常對信息技術了解不足,同樣難以承擔信息系統規劃的任務����。在這種情況下,很多企業轉而求助于專業咨詢公司�。值得一提的是,目前國內提供IT規劃咨詢服務的機構可以分為三種類型�����;系統提供商�����,以其技術實力為背景��,更多地從技術層面為企業進行IT規劃;純咨詢類機構����,通常有著相對完善的方法論體系��,對管理問題有著較深的理解�,所做規劃與戰略和業務結合較好;專業系統提供商與咨詢服務機構的結合體����,這類企業一方面對IT系統有著較深的認識,另一方面擁有系統的方法論體系�,能夠較好地實現IT與戰略和業務的銜接,倘若在IT規劃之后提供其后續的系統實施服務�����,更易實現規劃結果的落地�����。
1.3 信息化項目建設組織風險與項目管理者行為風險
(1)組織風險���。
企業信息化建設過程是一個非常復雜的過程��。其涉及范圍廣�����,人員多�,知識綜合性強�,不確定因素也多�。企業信息化建設項目除了涵蓋企業的各個職能部門外����,甚至將供應商�����、客戶���、相關聯系單位�����、下屬企業等都納入到系統中,是一個內��、外互動的系統���。同時,企業信息化建設是一個全員參與的過程����,牽涉到現場的操作工人、職能部門的專業人員����、部門管理人員直至企業高層領導。再者���,組織實施企業信息化系統,需綜合運用計算機知識�、項目管理、系統工程論���、管理理論、相關軟件知識�、行業經驗和實施方法論。因此其項目組織的難度之大�����,細節之多是一般項目很難比擬的����,因此企業信息化項目建設過程的組織風險是顯然的����。
(2)項目管理者行為風險。
通過分析�����,有下列四類代表性的項目管理者行為風險�。第一種類型為不確定性的否定。項目管理者認為有風險的項目是可怕的項目����,管理者總是盡可能地減少風險和問題以便使自己的團隊看起來更加合適和有競爭力���。這類項目管理者認為風險管理存在更多負面的影響����,從而趨向于不愿意管理風險����。第二種類型為不確定性的規避����。主要體現在客戶與項目管理者對風險合理性的矛盾看法及其行為傾向。也體現在項目團隊對風險認識與風險評價的不一致性��,在這種情況下�����,項目管理者為了項目團隊達成一致意見����,項目管理者選擇不管理風險或管理容易被識別的風險���。第三種類型是不確定性的延期。項目管理者不愿意對風險進行積極的管理���,對風險漠不關心���,直到風險發生時才匆忙采取行動�。第四種類型是不確定性的忽視。它是由兩個原因引起的����,首先�,因為項目狀態的復雜性和動態性�����,項目團隊不能準確預測風險�����;其次����,項目管理者不愿意尋找項目風險管理技巧來定義項目以外的風險�����。
1.4 企業信息化建設實施��、應用維護及信息安全風險
(1)實施風險�。
實施過程中�,服務方缺乏相應的實施規范��,忽視或者不深入進行項目的可行性研究、需求分析�����、系統分析等前期工作,導致企業信息化系統的功能����、實用程度都不夠理想;實施過程中的監控力度不夠�,使信息化實施項目不能按計劃完成���;實施結束��,沒有相應的驗收����,或是驗收的標準出現分歧��,使企業的信息化項目成為“難樓工程”�。因此企業信息化實施工作應該循序漸進�����,分步進行�。
(2)應用維護風險。
系統正常運行后日常的維護工作是不可避免的��。作為企業���,應勤于積累工作中遇到的問題及解決方法,注意系統的異常�����。無論數據庫有多先進����,軟件廠商技術實力有多雄厚�,也難免會有不足之處。因此企業至少應該做到在硬件條件上消除會造成系統全面癱瘓的可能�����。另外也應該有一定的人員在系統的功能模塊的技術實現上有所了解���,或者對二次開發內容以及用戶自行開發部分的有所把握�����,從而
使企業在軟件故障方面具備了一定的解決能力��。
(3)信息與系統安全存在的風險。
對于一個典型的信息化系統�����,主要的依賴網絡安全����,操作系統安全�����。數據庫安全和應用安全��、病毒的預防��、非法入侵的監督��、數據更改的追蹤�����、數據的安全備份與存檔�����、主機房的安全管理規章����、系統管理員的監督等等來保證系統的安全性����。目前��,普遍存在著不重視系統安全的現象���,諸如用戶口令泄密�、超級用戶授權過多等����。缺乏安全意識的直接后果是系統在安全設計上出現漏洞和缺陷,它將導致系統的癱瘓�。對系統軟件過多的更改可能會影響程序和數據的一致性和完整性,也給將來的軟件版本升級增加了難度和成本��。
2 浙煙信息化項目風險管理與風險防范
企業信息化過程面臨著如此之多的風險��,因此企業必須結合自身的實際情況構建風險管理及預警體系����,加強風險管理����,做好信息化項目風險防范工作�。
(1)加強制度建設�,建立風險管理體系。行業高層管理積極地參與并大力支持����,組織強有力的實施團隊���,技術部門�����、業務部門積極地參與到實施過程當中����,充分地溝通���,及時預防�����、分析����、研究及化解信息化項目實施中潛在的風險�����;并進行風險管理定期檢查�����,重點關注管理上的死角�����,及時發現工作中的疏漏和問題���,督促相關部門或單位采取處理措施。
(2)積極改善項目管理者行為風險�。改善項目管理者行為風險的策略有四:①營造鼓勵風險溝通的信息化項目文化,行業領導者負起支持和推動風險管理工作的責任���,把風險溝通和預防納入項目管理者績效考核工作中。②進行信息化項目團隊建設���。項目管理者充分發揮團隊的作用��,通過合理的授權令每一個團隊成員承擔相應的責任��,同時定期組織各種團隊活動��,增加成員彼此交流�����、增進信任的機會�,營造一個平等開放、相互信任的工作環境�����。加強管理者對風險認識差異的理解�����。提高項目管理風險的積極性�����,項目管理者應該首先接納他們的不同意見�,站在他們的立場來理解和關注其情感反應�,本著坦誠�、開放和主動的態度來尋求他們的支持。④提供風險溝通工具的支持�����。便利的溝通工具會影響項目成員風險溝通的信心和控制力����,并且能加速風險信息的收集與共享。⑤制定合理的風險管理流程�。本文參考卡耐基?梅隆大學的軟件工程研究所建立的能力成熟度模型提出閉環的浙煙信息化項目風險管理流程,如圖1所示�����。
(3)從企業發展戰略高度審視企業信息化建設的作用與價值�����,盡快�����、科學的做出應用協同商務��、協同政務��、供應鏈管理���、企業資源計劃���、業務模式重組�、產品協同研發和信息技術的決策t并逐步落到實處���。注重企業與信息產品供應商、咨詢服務商等方面的合作和溝通�,借鑒他人的經驗教訓。具體而言�,就是將浙煙企業的管理技術、研發技術�����、制造技術��、信息技術和網絡技術有機的結合起來�,通過有效的應用���,推動供應鏈協同商務模式�����、相互信任和雙贏機制的創新�����、企業管理模式和業務流程的創新��、產品研發模式和設計理念的創新��、產品制造模式和方法的創新���,從而全面提升企業競爭力����。
第5篇
1 正確認識企業信息化風險和風險管理
提到企業信息化的風險,大家普遍會聯想到病毒�、黑客攻擊,認為只需要使用殺毒軟件����、防火墻等安全產品就可以了���,但這只是信息化安全方面的風險���,是對企業信息化風險的狹義、局限性認識����,這種認識暴露出我們長期以來在風險防范����、管理意識方面的薄弱。而真正廣義的企業信息化風險是指在信息化實施過程中�����,由于各種因素導致結果與最初的信息化戰略目標存在偏差��,有偏差即是有風險��,不管這種風險是否給企業帶來經濟損失��。我們只有通過合理的方法辨識風險�����、分析風險��、控制風險�,找出風險來源�����,區分風險因素對信息化產生的影響��,并且針對不同的風險采取相應的防范與化解的措施����,力爭將損失和威脅降到最低�����,才能使企業信息化的效能最大化�。
2 企業信息化風險的原因
信息化系統相對于一般的項目而言在管理����、技術、時間�����、資金、實施和維護等方面存在更多的風險因素,但歸納起來主要是三個方面:管理層風險��、執行層風險��、操作層風險。
2.1 管理層戰略風險 俗話說:“站得越高���,看得越遠”,只有對信息化做出正確�、長期、準確的戰略發展規劃����,信息化系統成功的機率、對企業做出的貢獻才會越大����。首先���,需要企業管理層對信息化的價值理解透徹���,不能急于求成���、盲目跟風�����,抱著“別人都有��,我也要有��,要用就用最好的”等錯誤思想��,而要從信息化的實用性�、功能性�����、安全性等方面進行全面統籌和權衡����,必須要以支持企業經營管理�、提高工作效率為最終目標,可采取分步實施���、重點突破��、逐步完善的信息化部署戰略��。其次�����,企業信息化是對管理觀念的一種轉變和突破,企業高層必須要理解和接納這種管理思想�,必須要在人力����、物力、財力上給予信息化建設高度重視����,領導的重視和親身參與,勢必帶動各級員工的積極性和參與意識�����,為信息化項目的實施奠定良好的基礎���。
但是����,不少企業高層管理人員尚未認識到這一點��,對信息化的認識和管理理念比較落后�����,在有些領導看來��,信息化只是個面子工程�,是個無底洞�,需要不斷的投入�����,還不能直接給企業創造經濟效益����。因此在進行信息化規劃時目標不明確,動機不純,或者干脆沒有規劃�����,為以后信息化實施埋下了隱患��。比如:某企業2008年花費十幾萬購買了一套公文流轉系統�,該系統功能強大,完全能滿足企業無紙化辦公需要�����。但是領導長期在外���,常年不用電腦,再加上領導無法適應傳統的領導圈閱方式一子被電子簽名所取代��,所以長時間采用公文流轉和領導紙質圈閱并行方式����。這就是典型的管理層戰略風險�����,管理層觀念落后��,實施信息化動機不純,單純的為上信息化而信息化����。最終的結果只能是企業投入了大量資金卻并沒有提高工作效率����,信息化系統形同虛設,無法發揮應有的作用����,造成資金浪費。
2.2 執行層風險 有了信息化戰略規劃�,具體執行部門就要根據規劃實施信息化項目�����,在具體實施過程中����,可能存在來自于技術落后、資金短缺���、管理低下�、人才缺乏等方面的風險�。
2.2.1 信息化系統選擇風險。如今市場上各種信息化軟件�、硬件產品眾多���,不同應用平臺和開發工具����,不同的硬件集成����,都將決定企業信息化未來的效益、維護成本和轉移成本���。一旦系統或設備選型不當�����,將限制企業信息化的長遠發展�����。因此選擇信息化系統時要兼顧功能和技術要求,功能上既滿足當前的業務需求�,也要考慮未來的業務發展�����。技術并不是追求越先進越好���,而應該選擇現階段技術比較成熟���,可升級���、兼容更新技術的產品����。比如:某國有大型企業2005年耗資上百萬在全公司自上而下部署了一套電子檔案管理系統�,但在使用中發現該系統存在諸如操作不方便,與協同辦公平臺不兼容等問題���,導致系統使用不到半年就夭折了�,2010年公司又重新研發了一套全新的電子檔案系統�。這就是信息化系統選擇失敗的典型案例,這種情況在現在的企業尤其是國有企業相當普通�。
2.2.2 信息化項目管理風險�����。信息化系統的實施過程是一個復雜而又艱巨的系統工程�,在內部,它滲透到企業經營的不同層次�、不同部門之中,是一個全員參與的項目���,在外部���,它要適應信息化的快速發展,與系統提供商的合作溝通等等�����。在項目實施過程中,如果各部門溝通不順暢����、協同不力�;系統實施人員特別是核心人員的流失或中途調動�;實施費用嚴重超出預算等都可能直接影響信息化的實施結果。因此����,項目實施領導小組必須要掌好舵��、舉好旗�,嚴把項目進度、成本�����、質量關���,負責各級部門的組織和溝通協調,確保實施人員的穩定性�����。
2.3 操作層風險 操作層是指實際應用信息化系統的部門或人員��,這是最容易被人忽視�����,也是最容易產生風險的環節��。
2.3.1 業務流程風險���。在應用信息化系統之前�����,企業必須要根據崗位職責對各崗位的業務流程進行完善和優化,使信息化系統與實際業務工作相匹配���,否則就會造成系統與實際脫節�����,形成信息孤島�����,無法發揮作用����。
2.3.2 基礎數據風險�。在利用信息化系統進行數據分析的時候����,必須要求數據及時、規范���、準確、完整�����,否則得出的分析結果就可能與實際大相徑庭����。因此,企業要通過一些規章制度來明確和規范數據的內容�����,通過督導檢查���、高額獎懲等手段來確保數據的及時性和準確性���。
2.3.3 信息安全風險。其一�,要盡量確保信息化系統在安全性上不能有漏洞�,發現問題要及時與系統供應商溝通解決;其二�����,購置相應的安全保護軟件或硬件設備����,幫助減少系統安全風險��,提高系統的運行穩定性�。其三,要制定和完善系統安全運行規章制度��、數據故障應急預案��,確保系統出現故障時可以及時處理��。
3 企業信息化風險管理的策略
3.1 建立信息化風險管理機構 隨著企業信息化的不斷推進����,信息化在企業中的地位不斷凸顯,并且成為企業核心競爭力的組成部分����。因此��,企業應該及時組建企業信息化風險管理機構���,它的職能是建立科學的風險分析、評估體系��,定期評估信息化風險�,監控信息化實施�、運行過程,從企業整體利益出發����,根據產生風險的性質和特征,選擇不同的風險處置方案。設置企業信息化主管(CIO)�,直接對企業決策層負責��。
3.2 建立科學����、規范的業務流程 管理手段的落后和管理流程的混亂,是大多數企業的通病���,企業信息化關鍵的一步,就是建立一個科學�����、規范�、先進、適用的工作業務流程����,并且要將管理策略和制度融入業務流程之中��?�!皼]有規矩,不成方圓”���,企業都制定了一大堆管理制度,涉及到企業管理的方方面面�,但這些制度或多或少被束之高閣、有名無實���。因此���,要將這些管理制度和業務策略信息化��,用程序化的手段融入業務流程之中���,成為業務處理過程中的決策工具,實現業務流程和業務控制策略����、企業管理制度一體化的信息化系統。
3.3 營造一個信息化風險管理的環境 信息化是把“雙刃劍”�,大家既要認識到信息化給企業帶來的積極意義��,也要認識到信息化失敗給企業帶來的危害。因此���,營造一個信息化風險管理的文化環境是非常重要的���,平時要注意培養大家風險管理的意識�,并貫徹到日常工作中去。隨著信息化的逐漸深入��,當信息化己成為日常工作的必須工具��,與自己的業務本職工作息息相關的時候,大家就會意識到自己對于風險防范的責任����,加之經常培訓員工風險管理的方法和措施�,企業整體的風險管理能力就會逐步提升。
3.4 引入第三方風險檢測��、評估機構 在信息化的風險管理中����,很多風險必須通過專業的手段和儀器才能夠進行檢測和分析���,因此還應該引入第三方檢測評估機構�����,通過專業化的檢測手段發現系統錯誤�,對系統作一個公正、客觀����、科學的評價,最大程度地避免信息化的“豆腐渣”工程�。在這個過程中,我們要摒棄傳統的自我保護思想�����,害怕被發現問題����,要以更加開放的心態去進行信息化建設����,內外合作��,才能逐步增強抗風險能力。
第6篇
[關鍵詞] 風險識別 風險評估 風險應對
實施任何項目都有風險�����,即在企業投入相應資源后沒有如期實現項目目標���。項目風險管理,就是在項目實施過程中對項目可能出現的問題進行主動而系統的識別���、評估并及時采取相應的應對措施和行動�,減少風險帶來的損失��。風險管理由風險識別�、風險評估和風險應對三個部分組成���。
一�����、風險識別
風險識別就是確定風險事件及其來源����,是項目風險管理中一項經常性的工作。由于風險的不確定性����,風險識別實際上只能算是一種預測分析,是對可能會給項目目標實現帶來負面影響的環節和因素所進行的假想�。目的是做到有備無患,當實際風險發生時能有效應對����。
風險因素可能來自需求、技術�、資金�、實施方等各個方面,但項目實施最根本的目標是實現項目的期望�,因此風險識別也應重點關注影響項目期望的因素。同時在風險識別過程中�,也需要辯證地分析風險因素的負面效應(即風險帶來的威脅)和正面效應(即潛在的機會)����。
具體的項目風險識別方法��,主要有:1.調查問卷法����,即事先設計相應的表格��、問卷,然后選取特定的調查對象�,然后總結出項目的風險;另外��,詢問項目組成員也非常有幫助����,問問他們以前做過的項目里曾發生過哪些意料不到的問題。2.頭腦風暴法����,就是由項目小組成員在一起���,反復假設“如果……��,那就會……”����,充分預測信息化項目中出現的各種情況�����,從而盡可能多的找出影響項目成功實施的因素�。3.理論分析法,即通過建立數學模型等方法從理論上來分析信息化項目的風險��,比如決策樹�、敏感性分析、蒙特卡羅模擬等�。4.專家判斷法���,即請教擅長信息化項目實施的專家���、學者、教授�,經驗豐富的項目經理�、實施顧問等,從理論與實踐多方面來判斷項目風險因素的正面效應和負面效應���。5.經驗總結法,就是借助以往企業信息化項目實施的經驗教訓����,來類推��、聯想這個信息化項目中的風險因素。
二����、風險評估
風險評估就是估算風險的性質,估算風險事件發生的概率及其后果的大小�����,以降低項目的不確定性�。風險評估又稱作風險量化�����,就是比較風險的大小���,從而決定是否需要采取相應的應對措施���。風險評估的方法很多,歸納起來主要包括以下幾種:用風險發生的概率來評估風險發生的可能性;用風險帶來的損失來評估風險發生的嚴重性���;用現有的手段能否控制風險的發生來評估風險發生的可控性;用風險影響的地域大小�、對象多少等來評估風險影響的范圍;用風險發生在項目生命周期的階段來評估風險發生的時間����。
實際項目風險管理過程中,常常用逐項評分的方法來量化風險的大小�����,即事先確定評分的標準���,然后由項目小組一起,對預先識別的項目風險一一打分����,然后得出不同風險的大小。
三��、風險應對
針對風險評估的結果�����,制定相應的應對措施去響應風險����,就是風險應對�,其目的是創造機會,回避威脅�。風險應對中���,需要對風險的正面效應(即潛在的機會)制定增強措施����,對風險的負面效應(即可能的威脅)制定應付方法�����。對于不同的風險���,需要根據其重要性�����、影響大小,以及已經確定的處理優先次序����,采取相應的措施加以控制�,對負面風險的反應可以是盡量避免、努力減小或設法接收�����。另外��,在處理風險時需要注意應對的“及時性”和“反復性”���,即在第一時間對各種突發的風險做出判斷并采取措施;對已經發生或已經得到控制的風險經常進行回顧��,確保風險能夠得到穩定長期的控制��。
項目風險應對的措施主要有:1.修正項目目標或范圍��。盡管有深入的項目調研和詳盡的項目規劃����,但信息化項目過程中的需求改變常常難以避免,因此為保證項目的實施效果�����,對項目的目標或范圍加以必要修正�����,能夠有效應對項目偏離需求的風險���。2.加強培訓�����。加強項目培訓能夠提高參與項目的IT人員和業務人員甚至管理人員��、決策者對信息化項目的認知��,對規避項目的實施風險有良好的效果����。3.加長模擬階段的周期�。信息化項目中最重要的是信息系統與企業業務流程的結合���,因此加長系統模擬業務流程的周期,使之充分適應企業業務流程����,能夠保證項目對企業的適應性,從而降低項目的實施風險���。4.引入第三方咨詢和監理。信息化項目初期尤其是剛剛開展信息化項目的企業�,在信息化項目實施中引入第三方咨詢和監理,能夠利用第三方的專家優勢和對項目實施的經驗來應對項目風險��。5.始終貫徹項目管理的標準流程�。嚴格執行項目管理中的時間、成本��、質量控制等標準流程�����,能夠有助于控制項目風險�。6.準備風險保證金�����,適當預留項目計劃時間。信息化實施往往周期較長����,在項目預算中預留一定數量的風險保證金��,時間計劃中預留一定的時間����,能夠有效應對由于項目需求改變或者范圍增加而造成的時間和成本風險��。7.行政強制手段��。對于項目中的某些難點����,采用行政強制手段能夠起到很好的效果���。8.終止項目�����。這是一種極端的做法����,往往由于項目目標沒有明確所致,采用這種做法雖然會導致項目的徹底失敗�����,但也是萬不得已�����,能夠避免企業更大的損失���。
在信息化項目開發過程中,一個成功的風險管理可以防止和減少項目中潛在問題的影響��,它是處理危機的有效處方���。在項目生命周期內����,一個優秀的項目管理人員應在風險反應和風險預防之間達到一種平衡:當風險沒有出現時��,風險管理有助于你通過科學的分析和方法��,降低風險發生的概率或轉移風險���,減小風險損失����;當風險出現時����,風險管理有助于你采用一種經過深思熟慮的解決方法去快速的做出反應����,從而減小風險對整個項目所造成的影響���。
參考文獻:
[1]邱菀華:現代項目風險管理方法與實踐.北京:科學出版社,2003
第7篇
關鍵詞:全面風險管理 信息化 實踐
一�、專業管理理念和目標
(一)專業管理的理念或策略
通過信息系統提供的各種風險識別與評估工具���,準確識別風險,科學量化的風險評估等級�����,基于關鍵風險影響因素制定有效的應對策略,從而提高風險評估與預控能力���。
通過風險工作臺單據的管理模式�,把公司財務風險管理融入日常經營活動���,加強財務專業領域的風險治理,實現公司財務風險管理目標����。
(二)專業管理的范圍和目標
1.專業管理的范圍
風險管控系統涉及公司管理層面和部門執行層面的各崗位。首先班組成員是管理主體�,班組成員同時還是系統的使用、維護人員�,班組的日常工作內容都要通過他們在系統中體現出來;其次是風險管控領導崗位���,發揮職能協同作用�,協同系統整體運作��,按照“整體設計、前期試點�����、分步實施��、整合運行”�����,逐步在運行中基礎準備��、風險建設���、深入實施、整合提升��,圍繞風險防控體系建設目標�。
2.專業管理的目標
基于公司統一的管控策略,在建立健全公司財務風險管理體系的基礎上�,利用信息系統平臺實現財務風險識別�、分析��、評估、應對���、監控�、重估全過程的管理��,將公司財務風險管理體系靜態信息和動態信息全面納入信息化管理范疇�。
二����、專業管理的主要做法
(一)專業管理工作的流程圖
詳見圖1。
(二)全面風險管理內部層次框架
詳見圖2�����。
(三)節點主要做法
1.全面風險管控節點做法
(1)公司風控信息系統分為基礎應用平臺和高級應用平臺�����,可滿足總部各部門����、公司各級單位的管理需要�。公司風控信息系統以SAP GRC為基礎���,利用NetWeaver、Sotower開發平臺和BPA引擎����,完成了流程框架維護、流程分級管理��、風險控制關聯�、崗位授權固化��、制度流程融合���、內控在線評價和內控標準落地應用等功能的開發�����,實現所有管理要素的動態關聯�����。風險點、控制點與流程步驟�����、崗位動態關聯�����,便于各崗位開展風險應對�,執行控制措施,實現風險控制關聯��。通過流程步驟與崗位匹配���,明確崗位職責,固化授權標準�,并支持不相容職責自動檢查,實現崗位授權固化���。
(2)公司采取以財務專業為試點�����,從財務風險管理體系建設著手�,推動全面風險防控體系建設工作�。一是結合ERP系統108項工作流程,全面梳理財務內部控制流程�����。二是開展財務風險辨識�,采集風險信息200余條,形成財務風險事件54項�。三是以風險“信息與溝通”為中心設計財務內控管理流程,其中包括風險評估���、控制活動、有效性評價等三個核心內容���。四是制定財務內部控制及評價細則�,采用現場訪談�、控制測試、穿行測試等方式開展財務內控自評價��。五是制定財務稽核工作規范�,建立財務稽核規則庫�,對財務數據在線稽核,穩步推進財務風險在線監控��。六是建立風險監控預警指標,設定指標標準值和兩級預警區間���,對指標趨勢變化動態監控�����。
(3)構建防控體系,防范全面風險�����。公司以信息平臺建設為契機�,將風險防控體系建設與各業務信息系統有機結合��,推進全面風險管理體系建設�����,幫助執行管理指令的政策和程序�����。它貫穿各層次和功能����,包括各種活動,如批準��、授權�、證實、調整��、經營績效評價�、資產保護和職責分離等。
(4)建立企業級風險信息庫��。明確了各專業所面臨的主要風險及其表現形式�����、風險成因�����、應對措施��,為各專業開展日常風險管理工作提供了基礎信息����;并且,通過四級風險與內控流程關鍵步驟的匹配��,將公司層宏觀風險轉變為與實際崗位相關的具體風險���,提高了公司對風險的整體“免疫力”。
2.預算控制信息化節點做法
(1)在業務源頭進行控制�。應用信息系統���,在業務發生環節在線實時控制�����,實現預算控制關口前移�����。采取信息化手段及預算分析手段,信息化手段客觀控制手段���,剛性控制�,暴露和反映問題,預算控制對象為預算責任中心�����、預算科目及輔助維度的組合����,基于責任中心及預算科目執行年度總額預算控制;對于成本性及資本性支出項目��,同時按照項目進行明細預算控制��。從業務發起的源頭開始預算控制��,如采購業務――提交采購申請時�����,進行預算控制�����;員工報銷業務――提報報銷申請單時���,進行預算控制。
(2)預算控制的適用性。―是可控費用總額控制����,對15項重要科目實行單控嚴控,科目預算控制主要包括“三公”等費用科目�、在建工程工程科目,按照年度和進度實施控制�����。在線反映實際收支情況和指標情況��,及時提供具體的信息����,實現信息實時反饋�。設置預警指標���,對差異比較大或臨近超支的����,給予提示預警�����,提示及時結算或控制發生。實現偏差及時預警���。對超預算的實施強控制���,不得發生��。實現指標在線控制�����。二是嚴格項目創建校驗�,確保沒有預算外項目發生。項目預算包括:資本性支出項目和成本性支出項目��,均按照支出項目明細預算和年度預算實施雙重管控�����。三是應用項目預算財務支出強控功能���,確保單項工程不超預算���。
3.工程核算流程內部控制節點做法
(1)協同信息平臺,促進風控融合�。在風險管理信息系統與各業務信息系統建設過程中,將關鍵風險點����、內控流程、管控措施等進行固化����,實現風險防控與業務管控有機融合。一是將ERP成熟套裝軟件�、財務管控�����、協同平臺��、營銷�、生產����、基建等系統有序銜接����,實現業務信息與風險信息同步����。二是借助ARIS流程管理平臺����,將420項內控流程固化到企業信息系統。三是在財務管控設置15項內控考評點�����,在ERP中設置17項評價標準����,在信息系統中開展風險管理考核評價。四是通過項目儲備庫���、標準作業庫�、物資價格庫集成���,強化標準作業����、基建成本的控制與管理���。五是開發資產全壽命周期評估決策系統�����,從資產形成�、日常管理�、運行維護、報廢退出四個環節對資產成本進行控制�、評估與考核����。
(2)發揮監督合力,推進依法治企����。堅持依法從嚴治企,構建由財務����、審計、紀檢等部門組成的內控監督防線��。一是加強業務部門溝通協作���,重點發揮業務部門的監督合力,拓展稽核監督深度與廣度��。二是利用在線稽核系統��,對重點業務進行動態監控��,利用審計成果�,加大重點領域和薄弱環節的現場稽核,利用“聯席會議機制”對稽核結果進行效能監察���。三是建立稽核結果����、內審外檢�、典型案例等信息共享平臺���,促進稽核成果轉化應用����。四是開展在線稽核,發現疑點87項���,監督各單位對問題落實整改�����。五是加大日常業務稽核力度����,對重點領域和關鍵環節進行專項稽核和治理���,做好事前、事中��、事后的聯合監督��。六是推行省公司抽查��、省農電公司督查����、市公司普查三級稽核方式�����,實現對縣農電企業稽核的閉環管理。七是強化審計監督���,開展“三指定”自查整改、“小金庫”和工程建設領域專項治理等活動��。八是制定監督管理辦法�����,實行聯席會議制度���,強化權力運行監督����,重大事項監督全部到崗到位���,使工作達到閉環管理��。
(3)堅持五個“兩率”考核���,實現與“五集中”對接。引入獨具特色的�����、以五個“兩率”為核心的財務評價指標體系���,實現與“五集中”對接���,強化風險過程管控?;A工作兩率,即會計憑證“合格率”和“及時率”���,推動基礎財務工作向“精細化”和“標準化”轉變,奠定會計集中核算基礎����。工程管理兩率,即工程項目“竣工決算完成率”和“項目轉資入賬率”����,有效解決了公司超期完工轉固的問題�����,實現資本集中運作�����。預算管理兩率,即年度預算“完成率”和進度預算“偏差率”考核�����,確保預算集約調控�。資金管理兩率���,即資金“占用率”和資金“歸集率”���,確保資金全都集中在可監控的范圍內,做到資金集中管理��。財務報表兩率���,即報表“及時率”和“正確率”�,有效保證了財務報表的及時性和準確性,為經營決策�、風險防控提供數據基礎���。
4.核算流程內控節點做法
(1)利用管控系統集團對賬平臺進行集團內外單位的往來核對��。雙方單位確認往來賬目��,在平臺進行核銷��,保證報表合并順利���。
(2)子公司財務報表經過自查稽核、省公司稽核��。查找填報存在問題進行整改����。
(3)與網省公司人資部門�����、營銷部門等業務部門系統核對業務數據,保持嚴格一致�。
(4)網省公司報表合并后問題進行整改。
三��、評估與改進
國家電網公司在ERP應用方面提出了“完善提升�、深化應用、安全運行��、再上水平”的信息化工作思路��,公司作為省首家通過實用化驗收的地市單位,雖然取得了階段性的成績����,但通過與西北電網等在ERP上線和成熟應用中走在了前列的兄弟單位相比,還存在相當的差距����。
(一)專業管理存在的問題
(1)全面風險管理信息化新增任務項目需要與各業務部門協同進行,財務協同管控的力度不夠��、業務部門提供的業務參數不準確���,口徑不統一���,缺乏把控和審核�,導致標準成本與實際成本有偏差
(2)全面風險管理信息化程度需要進一步加強���,出現信息化發展與流程的同步問題,在實現對公司各流程的監督���,控制重大事項的過程中����,實現有效供應鏈管理中�,兩者結合點出現問題,控制點無法落到實處����。
(3)內部控制和業務流程中的標準化問題。信息化的標準體系有待于完善建設����。管理流程有待于進一步規范�����,流程不確定化對信息化應用造成阻礙。
(二)今后的改進方向或對策
(1)協同各業務部門���,根據公司管理的實際需要新增任務流程����,在過程中實現工程項目各節點的風險管控��。
(2)資金管理實現審批流程����,與銀行聯結,實現電子收付自動生成憑證�。
(3)實現財務與營銷業務的有效集成,提高數據共享度���,提高工作效率����。繼續健全公司標準化體系建設,管理流程進一步規范����。
